马上注册,结交更多好友,享用更多功能,让你轻松玩转闽南师范大学。
您需要 登录 才可以下载或查看,没有账号?立即加入
×
< >win2k运行进程详解
. t q) d$ I: x- {================= * N8 |" i5 q" Z: N
Svchost.exe
* ?( i5 @+ h! k6 u" `! F2 sSvchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位 + W- |) g( K. Z
在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要
% }$ S7 w- v# u) Y- _加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,
; N; s6 i1 H; }! z1 O; E以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 </P>4 |2 D: S5 o" \6 N
<>Svchost.exe 组是用下面的注册表值来识别。 </P>
. t+ J8 u6 J4 ^! w<>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost $ ? `% a9 n- N: F- Z3 ^
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的
1 D6 Q# X7 y+ c8 K, P8 j* i- b例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个
: n: h: p5 D, R1 U h C或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
( b* `1 @) ~% {+ c) zHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service </P>
+ C% b M% R+ R+ U<>更多的信息 $ n; m7 l& F$ e4 L8 i3 K
为了能看到正在运行在Svchost列表中的服务。
( S4 k2 k. g$ p) A) F: S开始-运行-敲入cmd . d' q/ L) f8 U, U
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬)
* p" b4 z" Z1 pTlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于 . i4 T8 |' W0 @% x* A
进程的信息,可以敲 tlist pid。 </P>
" A9 w. S4 v6 e, k; D" O<>Tlist 显示Svchost.exe运行的两个例子。 / Q3 R( H' `5 {. H8 z# I
0 System Process . t+ t) b$ m) r$ G: `6 N
8 System
+ P5 i6 P8 T5 [' Z9 @132 smss.exe / g! [$ {5 y: Q, ~+ f0 D
160 csrss.exe Title: 0 X" Q' N, f$ Q4 r1 k7 n( w
180 winlogon.exe Title: NetDDE Agent
8 _+ W/ X9 o9 J1 e+ \% h. d' I208services.exe * p4 Z% u. x$ S' S4 u) \6 U) E/ O9 g
Svcs: AppMgmt, Browser, Dhcp, dmserver, Dnscache, Eventlog, lanmanserver, LanmanWorkstation, LmHosts, Messenger, PlugPlay, ProtectedStorage, seclogon, TrkWks, W32Time, Wmi % x" d' G) f8 q. k
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs 7 _; `' |1 E" }
404 svchost.exe Svcs: RpcSs : `" J E- x9 o0 C* E+ Z
452 spoolsv.exe Svcs: Spooler
# F$ M c* d+ }1 c2 F544 cisvc.exe Svcs: cisvc : T* L/ Q7 |: d( b% [
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
! D6 n, d: X+ L4 e/ y( \580 regsvc.exe Svcs: RemoteRegistry 3 ^5 ^! l7 R4 C( e
596 mstask.exe Svcs: Schedule
( F7 M3 h W9 W+ q660 snmp.exe Svcs: SNMP 5 o7 X# i: B4 E2 r
728 winmgmt.exe Svcs: WinMgmt
! b$ V3 d, X" r852 cidaemon.exe Title: OleMainThreadWndName
# f" ]- Z+ x- o( c1 L( o4 d3 q812 explorer.exe Title: Program Manager
1 E4 \: c; G l4 H$ H5 T) `2 m- t- O1032 OSA.EXE Title: Reminder
4 `! y6 \3 w' u8 p' D# R1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
9 j9 _* o4 C* i5 @1080 MAPISP32.EXE Title: WMS Idle 7 f" s% j8 n" @
1264 rundll32.exe Title: : ?& k, f7 p- P
1000 mmc.exe Title: Device Manager ; I, @4 _8 l7 R3 v9 j9 p
1144 tlist.exe * z" V0 \5 o+ Q. Z# Y' ]# J; Y
在这个例子中注册表设置了两个组。
+ D: |, z; M/ i/ ]. MHKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: & a- y' @1 j1 T( \% G
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
- I6 g! w. H# z: l4 j! y, X: r( Q) Prpcss :Reg_Multi_SZ: RpcSs </P>
$ L) w4 {- z9 C5 J0 U<>smss.exe </P>+ c! Y0 x1 f6 h' k9 z
<>csrss.exe </P># ?. U0 y! d) t, `7 }
<>这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统
0 P& y- h( `7 M* m% l' u% m# E必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。 </P>: K2 K5 N5 ~% V: E; j
<>explorer.exe
6 B* P1 K- H7 C这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等。这个
/ M7 H1 `, ^. q% p# W进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动。 ! g. |* G4 o* i2 g- ~, z
通常不会对系统产生什么负面影响。
2 v U/ j; u2 P8 T</P> |
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡